31 deutsche Banking-Apps rasseln durch Sicherheitstest

Dass viele Banking-Apps alles andere als sicher sind, ist schon seit Langem bekannt. Sicherheitsforscher der Uni-Erlangen haben sich dem Thema jetzt erneut angenommen und festgestellt: Es hat sich wenig ge­tan. 31 der getesteten Apps fielen durch eine Sicherheitslücke auf, mit denen Angreifer die Anwendungen komplett übernehmen können.
Smartphone, Android Smartphone, ZUK, ZUK Z2 Pro
ZUK
Wie die Sicherheitsexperten der Süddeutschen Zeitung gegenüber demonstrierten, er­mög­licht die Lücke gleich eine ganze Latte verschiedenster Angriffe. Dies geht vom un­er­laub­ten Ausführen und Kopieren der App bis hin zum ändern von IBAN-Nummern und dem Ver­sen­den von Transaktionsnummern auf andere Geräte. Zu den größeren betroffenen Ban­ken ge­hö­ren unter anderem die Commerzbank, die Stadtsparkassen, Comdirect und die Fidor-Bank.

Bei den Sicherheitstests handelte es sich um so genannte Proof-of-Concept-Angriffe, mit de­nen die Schwachstellen nachgewiesen werden sollten. Welche Technik dafür genau zum Einsatz kam, behalten die Sicherheitsexperten für sich, wollen die Ergebnisse aber Ende des Jahres beim Chaos Communication Congress (CCC) erläutern. Damit der Trick klappt, ist aber der parallele Einsatz von App-Tans erforderlich, welche viele Anwender mittlerweile aus Komfortgründen einsetzen. Dabei kommt parallel zur Banking-App eine TAN-App zum Ein­satz.


Überweisungen umleiten

Besonders die Manipulation von gespeicherten IBAN-Nummern könne von Angreifern miss­braucht werden, um die App-Besitzer um ihr Geld zu erleichtern. Diese könnten bei einer Überweisung abgeändert werden, um das Geld auf andere Konten umzuleiten. Der ah­nungs­lose App-Benutzer sieht auf seinem Display aber weiterhin die von ihm angegebene IBAN-Nummer und würde den Betrug dadurch zu­nächst nicht bemerken.

Regelmäßig tauchen neue Erkenntnisse zu Sicherheitslücken beim App-basierten On­line­ban­king auf. Im Mai wurde etwa ein Fall bekannt, bei dem Kriminelle TAN-SMS umleiteten und dadurch die Konten zahlreicher Bankkunden plündern konnten. Den Banking-Apps blind zu trauen, kann durchaus als fahrlässig bezeichnet werden. Wer auf Nummer Sicher gehen will, sollte ein Verfahren mit Zweifaktor-Authentifizierung durch separate Hardware nutzen, wie etwa das ChipTAN-Verfahren, bei dem man einen batteriebetriebenen TAN-Generator benutzt.
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Folgt uns auf Twitter
WinFuture bei Twitter
Interessante Artikel & Testberichte
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!